Cảnh báo tình trạng mua bán, thu thập và sử dụng trái phép thông tin cá nhân
Hiện nay, thực trạng mua bán, để lộ lọt dữ liệu cá nhân đang ở mức đáng báo động... Tình trạng này gây ảnh hưởng không nhỏ đến quyền riêng tư, bí mật cá nhân của mỗi người, có thể dẫn đến tình trạng lừa đảo công nghệ cao, cũng như các hành vi phạm pháp khác.
Phương thức, thủ đoạn tinh vi của các đối tượng trong ổ nhóm
Nói về mục đích các đối tượng mua thông tin cá nhân của người khác, Thượng tá Cao Việt Hải, Trưởng phòng An ninh điều tra Công an tỉnh Phú Thọ cho biết, đối tượng thực hiện việc mua thông tin cá nhân của người khác có nhiều mục đích. Có đối tượng dùng để tiếp cận nhiều hơn khách hàng có nhu cầu mua sản phẩm.
Khi có các dữ liệu trên, các đối tượng gọi điện thoại, gửi tin nhắn quảng bá, tiếp thị, chào bán sản phẩm theo các từ khóa như: khách hàng tài chính cao, bất động sản, nghỉ dưỡng, resort, khách hàng có nhu cầu vay tiêu dùng, khách hàng đã mua và sử dụng sản phẩm tiểu đường, xương khớp, sinh lý, mất ngủ, dạ dày, nám, giảm cân, xoang, huyết áp, mỡ máu, chiều cao, trắng da, tiết tố nữ, phụ khoa, khách hàng mua sắm online (thời trang, phụ kiện, điện máy, thiết bị gia dụng ...), thực phẩm chức năng, khách hàng nữ spa, thẩm mỹ viện, hộ kinh doanh, công ty, doanh nghiệp, chứng khoán, tiền ảo, trường học, học sinh, thầy giáo, giảng viên... do người mua thông tin cá nhân của người khác đặt ra. Giá trị giao dịch mỗi thông tin cá nhân của người khác từ 50 đồng đến 600 đồng/1 thông tin.
Mới đây, Phòng An ninh điều tra Công an tỉnh Phú Thọ đã điều tra, làm rõ vụ án Vũ Hồng Anh (SN 1991, trú tại phường Mông Dương, TP Cẩm Phả, tỉnh Quảng Ninh) và Nguyễn Phi Long (SN 1992, HKTT tại huyện Hưng Hà, tỉnh Thái Bình; hiện đang ở tại Hà Nội) phạm tội “ Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” xảy ra tại tỉnh Phú Thọ và TP Hà Nội. Trong vụ án này, Anh và Long đã trao đổi, thu thập trên mạng internet từ những người khác bằng cách đăng bài hỗ trợ bán data miễn phí cho người có nhu cầu bán trong nhóm “Data khách hàng tiềm năng”, với hơn 11.000 thành viên; giúp họ bán được data đồng thời thu thập thêm dữ liệu thông tin cá nhân của người khác, phục vụ việc mua bán.
Để thực hiện hành vi phạm tội trên, Long và Anh đã có sự bàn bạc, trao đổi, thống nhất chặt chẽ, phân công nhiệm vụ cụ thể, rõ ràng. Trong thời gian từ tháng 3/2021 đến tháng 5/2022, Anh và Long đã thu thập được 2.382.620 thông tin cá nhân. Các đối tượng mua dữ liệu gồm hơn 600 đối tượng, cư trú tại 55 tỉnh, thành trong cả nước. Ngoài ra, các đối tượng sử dụng các tài khoản ngân hàng “ảo” mang thông tin người khác để nhận tiền từ khách hàng; sử dụng các số điện thoại “rác” để liên hệ, trao đổi, thỏa thuận với khách hàng; triệt để lợi dụng tiến bộ khoa học công nghệ để phục vụ hành vi phạm tội: Sử dụng các phần mềm chát OTT mã hóa, tự động xóa tin nhắn, xóa tin nhắn hai chiều, sử dụng các tài khoản mạng xã hội ẩn danh để hoạt động phạm tội; luôn cảnh giác, chủ động xóa dấu vết, qua mặt cơ quan Công an.
Các đối tượng Long và Anh đồng thời quản trị một nhóm kín (group) trên mạng xã hội Facebook có tên “Data khách hàng tiềm năng” để trao đổi, mua bán dữ liệu thông tin cá nhân, gồm: Số điện thoại, họ tên, ngày tháng năm sinh, địa chỉ, thư điện tử (email)... Trong đó, Nguyễn Phi Long là người xây dựng phần mềm có khả năng ghi nhận, thu thập các thông tin cá nhân người khác trên tài khoản Facebook, google... và lưu trữ vào máy tính được Long cài đặt có tính năng như một máy chủ ảo, cho phép truy cập từ xa. Sau đó, Long tạo tài khoản đăng nhập và mật khẩu cho Vũ Hồng Anh để truy cập, tra cứu, trích xuất dữ liệu và bán cho khách hàng có nhu cầu. Vũ Hồng Anh sử dụng tài khoản Facebook có tên Le Thi Quynh Anh để lôi kéo các tài khoản mới tham gia nhóm kín “Data khách hàng tiềm năng”, rồi thỏa thuận mua bán các thông tin cá nhân. Sau khi thống nhất với khách hàng về số lượng thông tin cá nhân, giá cả, Anh yêu cầu người mua chuyển tiền vào tài khoản ngân hàng đứng tên người khác do Anh sử dụng nhằm ẩn danh, tránh sự truy tìm của cơ quan điều tra. Khi nhận được tiền, Anh trực tiếp trích xuất dữ liệu dưới dạng tập tin excel và chuyển cho người mua theo các tài khoản mạng xã hội, thư điện tử (email).
Vạch trần nhân thân của các đối tượng
Thực tế cho thấy, các nhóm đối tượng thực hiện hành vi mua bán thông tin cá nhân thường là những người có trình độ, hiểu biết sâu về công nghệ thông tin… Các đối tượng đã lợi dụng không gian mạng để hoạt động phạm tội bằng thủ đoạn hết sức tinh vi, ẩn danh và che giấu hành vi phạm tội, gây nhiều khó khăn cho quá trình điều tra, xác minh của cơ quan chức năng.
Một số đối tượng thu thập được hàng triệu thông tin cá nhân, trong đó có những thông tin nhạy cảm thuộc bí mật đời tư của cá nhân. Trong khi đó, các dữ liệu cá nhân của người dùng như số điện thoại, email, căn cước công dân... thường là thông tin bất biến. Vì vậy, khi thông tin bị thu thập và đưa vào các cơ sở dữ liệu của tội phạm mạng, bị chia sẻ thì gần như không còn khả năng thu hồi. Khi những dữ liệu thông tin cá nhân này được trao đổi, mua bán tràn lan sẽ gây hệ luỵ rất lớn, dễ bị các đối tượng xấu sử dụng thông tin cá nhân để xâm phạm quyền và lợi ích hợp pháp của các tổ chức, doanh nghiệp và cá nhân.
Một số đối tượng còn thu thập, mua bán dữ liệu thông tin cá nhân gồm số điện thoại, vị trí địa chỉ truy cập của người sử dụng mạng 3G, 4G truy cập vào địa chỉ website bất kỳ. Điển hình là nhóm đối tượng do Vũ Tiến Dũng (SN 1992, trú tại phường Yên Nghĩa, quận Hà Đông); Đinh Việt Hải (SN 1993, ở tại phường Bưởi, quận Tây Hồ) và Vũ Gia Anh (SN 1993, ở tại tỉnh Bình Dương) thực hiện. Nhóm đối tượng này đã thu thập, mua bán dữ liệu thông tin cá nhân gồm số điện thoại, vị trí địa chỉ truy cập của người sử dụng mạng 3G và 4G truy cập vào địa chỉ website bất kỳ, theo nhu cầu đặt hàng của khách hàng. Để thực hiện hành vi phạm tội, Dũng đã tạo lập website FoneCrm. com; Đinh Việt Hải tạo lập website AiCrm.com; Vũ Gia Anh tạo lập website MobileCRM. com và 1 nhóm kín “DA TA KHACH HANG TIEM NANG” có hơn 10 nghìn thành viên tham gia trên Facebook để quảng cáo dịch vụ bán dữ liệu cá nhân là: Lấy số điện thoại của người dùng khi họ sử dụng mạng 3G, 4G truy cập vào một số website hoặc website khách hàng yêu cầu.
Trong đó, các đối tượng cung cấp 4 gói dịch vụ gồm gói V 1000 (cung cấp 1000 số điện thoại) với giá 5,9 triệu đồng; gói V 2000 (cung cấp 2000 số điện thoại) với giá hơn 11 triệu đồng; gói V 4000 (cung cấp 4000 số điện thoại) với giá hơn 19 triệu đồng; V 4000 vip (cung cấp 5000 số điện thoại), độc quyền với giá hơn 39 triệu đồng). Khi khách hàng chọn gói dịch vụ, thanh toán tiền qua tài khoản ngân hàng và gửi các link website cần lấy số điện thoại, các đối tượng yêu cầu họ chờ để thiết lập hệ thống. Sau khi thiết lập thành công, các đối tượng sẽ định kỳ, hằng ngày gửi email chứa dữ liệu số điện thoại thu thập được cho khách hàng.
Nếu khách hàng có yêu cầu về việc thiết lập máy chủ để truy xuất thông tin, các đối tượng sẽ đẩy dữ liệu này lên máy chủ (thuê nước ngoài) để cho khách hàng tự truy xuất hàng ngày. Khi nào cung cấp đủ số điện thoại theo gói dịch vụ hoặc quét đủ thời gian 30 ngày thì các đối tượng sẽ dừng dịch vụ. Trong thời gian từ tháng 3/2021 đến ngày 1/8/2021, Dũng, Gia Anh và Hải đã thu thập và bán hơn 400 nghìn dữ liệu thông tin cá nhân chứa số điện thoại và địa chỉ truy cập, hưởng lợi khoảng hơn 1,1 tỷ đồng. Từ công tác nắm tình hình, nắm địa bàn, Phòng An ninh điều tra phối hợp với Phòng An ninh kinh tế Công an tỉnh Phú Thọ đã phát hiện và bắt giữ ổ nhóm trên.
Trao đổi với chúng tôi, Thượng tá Cao Việt Hải, Trưởng phòng An ninh điều tra Công an tỉnh Phú Thọ cho biết: Hiện nay, các quy định về chế tài nhằm bảo vệ dữ liệu cá nhân ở Việt Nam còn nhẹ, chưa đảm bảo tính răn đe; trong khi hậu quả từ hành vi xâm phạm quyền riêng tư có thể rất nghiêm trọng, gây tổn hại tới danh dự, nhân phẩm, an toàn và cả tính mạng của không chỉ một mà có thể là nhiều nạn nhân.
Cũng theo Thượng tá Cao Việt Hải thì trong thời gian tới, nhu cầu và mức độ sử dụng dữ liệu cá nhân trong các lĩnh vực của đời sống sẽ tăng cao, cần có sự kiểm soát của Nhà nước. Vì vậy, nên chăng cần phải xem xét tăng chế tài xử phạt; đồng thời bổ sung quy định về trách nhiệm hình sự đối với hành vi xâm phạm quyền được bảo vệ đối với dữ liệu cá nhân trong Bộ luật Hình sự.
Một số hành vi vi phạm pháp luật bảo vệ dữ liệu cá nhân có thể xem xét hình sự hoá như: hành vi thu thập, sử dụng, khai thác, chuyển nhượng trái phép dữ liệu cá nhân. Ngoài ra, cần xây dựng, hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân theo hướng nghiên cứu, bổ sung quy định về chế tài hình sự liên quan tới vi phạm quy định về bảo vệ dữ liệu cá nhân, như: hành vi thiết lập hệ thống thu thập thông tin, dữ liệu cá nhân trên quy mô lớn, trái pháp luật; xây dựng các phần mềm gián điệp có chức năng thu thập thông tin, dữ liệu cá nhân; buôn bán dữ liệu cá nhân quy mô lớn; tiết lộ dữ liệu cá nhân trái pháp luật gây thiệt hại về tính mạng và tài sản.